實際案例分析

某公司，由於業務要求，為了保障服務（wù）器高可用性，對服務器實現了NLB群集技術。萬事有（yǒu）利就有弊，由（yóu）於NLB群集在實際（jì）環境中一般采用多播（bō）技術，交換機（jī）同一出口下的節點均為收到大量廣播，一些網絡延時要求（qiú）較小(如做網絡電話、短信群發（fā）業務)的用戶網絡性能將會受到很大影響。

麵對這種情況我們首先想到（dào）的是子網劃分或者（zhě）是劃為VLAN，劃（huá）分子網後問題依然存在，這個時候一般隻能考慮劃分VLAN，但是（shì）由（yóu）於IDC服（fú）務（wù）器（qì）節點上聯設備（bèi）幾乎沒有劃分VLAN的，因為（wéi）服務器的上聯交換機一般是用戶自己的（de），而IDC中的交換機（jī）也劃有VLAN，服務器的上聯交換機配置VLAN時需要（yào）配置Trunk，否則無法與上聯設備進行通訊，由於機房網絡拓撲環境用（yòng）戶自己不熟悉，所以沒辦法劃分VLAN。難道這（zhè）種情況就沒辦法解（jiě）決了嗎?

答案是有（yǒu）的，那就（jiù）是端口隔離技術.

端口隔離技術概述

端口隔離技術（shù）是一（yī）種實現（xiàn）在客（kè）戶端的端口間的足夠（gòu）的隔（gé）離度以（yǐ）保證一個客戶端不會收到另外一個客戶端的流量的技術。通過端口隔離技術，用（yòng）戶可以將需要進行控製的端口加入到一個隔離組中，通過端口隔離特性，用戶（hù）可以將需要進行（háng）控製的端口加入到一個隔離組（zǔ）中，實（shí）現隔離組中的端口之間二層數據的隔離（lí），使用隔離技術後隔離端口之間就不會（huì）產生單播、廣播和組播，病毒就不會在隔離計算機之（zhī）間傳播，增加了網絡安全性，提高了網絡性能

實際環境（jìng）應用（yòng）

好，下麵我們來看一個（gè）端口隔離實際應用(以H3C S2126-ei交換機為例)

病因：某用戶經（jīng）常對外發送大量廣播，造成網絡（luò）性能嚴重下降

處方：端口隔（gé）離技術

三台服務器（qì）分為3個實際用戶，分別（bié）連接交換機的

sys

System View: return to User View with Ctrl+Z.

[H3C]interface Ethernet 1/0/1

[H3C-Ethernet1/0/1]port isolate //設置本端口為隔離端口

[H3C-Ethernet1/0/1]quit

[H3C] interface Ethernet 1/0/2

[H3C-Ethernet1/0/2]port isolate //設（shè）置本端口為隔（gé）離端口

[H3C-Ethernet1/0/2]quit

[H3C] interface Ethernet 1/0/3

[H3C-Ethernet1/0/3]port isolate //設置本端口為隔離端口

[H3C-Ethernet1/0/3]quit

[H3C]save //保存配置（zhì）

[H3C]display isolate port //查詢（xún）端口隔離組中的端口

[H3C-Ethernet1/0/X]undo port isolate //刪除某端口下的隔離（lí）端口

注：端口隔離不同於VLAN

其它廠商品牌交換機端口隔離技術應用

華為

[Quidway]interface Ethernet1/0/1

[Quidway-Ethernet1/0/1] port-isolate enable //開啟本端口隔離功能（néng）

思科（kē）

Switch(config)# interface 端口號

Switch(config-if)# switchitchport protected //開啟端口保（bǎo）護功能

注：思科個別型（xíng）號交換機（jī）采用PVLAN來實現端口保護功能

D-link

config traffic_segmentation [] forward_list [null |]

注：表示指定（dìng）哪個端口（kǒu）作為（wéi）隔離端口，參數null表示沒有上連端口（kǒu），參數表示上連端口